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The following information has been taken from the documents submitted by the applicant 

(54) Arrangement for a security module 


(57) Arrangement for a security module for preventing 
the reading out or the unauthorized manipulation of 
security-related data. 

Such modules are used, for example, in ASICS in 
franking machines or in automated teller machines. 
The purpose is an improvement of the manipulation 
security. In accordance with this task, x-ray 
examinations are to be prevented, and attempts to 
drill It open or grind it open are to be without success. 
In accordance with the invention, the security module 
1 is surrounded by at least one x-ray absorijing 
enclosure 2 and is provided with means 4, 5, 6 for 
the purposeful manipulation of security-related data in 
the event of mechanical intervention and/or x-ray 
irradiation. 
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Patent Claims 3^ 


1. Arrangement for a security module for preventing the 


> 


reading out or the unauthorized manipulation of security- 
related data, characterized in that the -cernrifv mnHnIp (^\ 


m 


related data, characterized in that the security module (1) 
is surrounded by at least one x-ray absorbing enclosure (2) 
and 

is provided with means (4, 5, 6) for the purposeful 
manipulation of security-related data in the event of o 
mechanical intervention and/or x-ray irradiation. ^5 

2. Arrangement according to Claim 1. characterized in that 
the enclosure (2) is made of lead. 

3. Arrangement according to Claim 1, characterized in that 
the enclosure (2) is made of a cast resin with an x-ray 
absorbing filler material made of lead and copper 
compounds plus optional additional filler materials. 

4. Arrangement according to Claim 3. characterized in that 
a mixture of 85% minium -Pb304- and 15% cuprite -CU2O- 
is used, and as optional additional filler materials, quartz 
powder, glass beads or glass fibers. 

5. Arrangement according to Claim 1, characterized in that 
the security module (1) is surrounded by an additional 
opaque enclosure (3), and 

placed in the transition region between this enclosure (3) 
and the x-ray absorbing enclosure (2), are, optionally, a 
meandering electrical conductor (4) or a light detector (5) 
along with an optical fiber light guide (51) or an x-ray 
detector (6) or combinations of same, which are 
electrically connected with die security module (1) either 
directly or via a manipulation circuit (9). 

6. Arrangement according to Claims 1 and 5, characterized 
in that the enclosure (3) is surrounded by an x-ray 
absorbing housing (7) which is placed on a circuit board 
(8) which is electrically connected with the security 
module (1). 

7. Arrangement according to Claim 5, characterized in that 
the manipulation circuit (9) is electrically connected with 
the security module (1) only when the latter is in an 
electrically dead state. 
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Die folgenden Angaben sind den vom Anmelder eingereichten Unterlagen entnommen 


(S) Anordnungfureinen Sicherheitsmodul 

@ Anordnung fur einen Sicherheitsmodul zur Verhinde- 
rung des Auslesens oder der unberechtigten Manipulati- 
on sicherheitsrelevanter Daten. 

Ein derartiger Modul wird beispielsweise in ASICs in 
Frankiermaschinen oder in Geldautomaten eingesetzt. 
Zweck ist eine Verbesserung der Manipulationssicherheit. 
AufgabengemaB sollen Rontgenuntersuchungen verhin- 
dert werden und Versuche nnittels Aufbohren oder Auf- 
schleifen erfolglos sein. 

ErfindungsgemaR ist der Sicherheitsmodul 1 von minde- 
stens einer Rontgenstrahlen absorbierenden Hulle 2 um- 
geben und mit Mittein 4, 5, 6 zur gezielten Manipulation 
sicherheitsrelevanter Daten bei mechanischem Eingriff 
und/oder Rontgenbestrahlung versehen. 


71 6 



in 

(O 

00 
O) 


UJ 


BUNDESDRUCKEREI 08.99 902 041/599/1 


21 


DE 198 16 572 A 1 


1 

Beschreibung 


Die Erfindung betrifft eine Anordnung fur einen Sicher- 
heitsmodul insbesondere zur Verhinderung des Auslesens 
Oder der unberechtigten Manipulation sicherheitsrelevanter 
Daten. Diese Daten konnen sicherheitsrelevanie Teile eines 
Maschinenprogramms, Guthabenwerte oder andere sicher- 
heitsrelevanie Funktionen betrefFen. 

Ein derartiger Modul wird beispielsweise in ASICS in 
Frankiermaschinen oder Chipkarten fiir den Geldverkehr 
Oder in Geldautomaten eingeseUt. 

Zum allgemeinen SchuU und zum Schutz gegen Manipu- 
lationen wird der Sicherheitsmodul iiblicherweise mit einer 
aushartenden Verguflmasse umgeben, siehe 
HP 0 717 370 A2. Die VerguBmasse ist in der Regel ein Ep- 
oxydharz oder ein anderer geeigneter Plast. 

Damit werden Manipulationen zwar erschwert, jedoch 
nicht verhindert. Um Manipulationen an einem derartigen 
Sicherheitsmodul vomehmen zu konnen, wiirde man zu- 
nachst denselben einer Rontgenuntersuchung unterziehen 
und anschlieBend an den fiir einen Zugang geeigneten Stel- 
len aufschleifen oder aufbohren. 

Weiterhin ist noch eine Beeinflussung uber die elektii- 
schen Anschlusse moglich. 

Eine andere bekannte SchutzmaBnahme besteht darin, 
den Sicherheitsmodul mit einer Folie mit einem maander- 
fbrmigen Leiter hoher Packungsdichte zu umschlieBen und 
mit diesem elektrisch zu koppeln, siehe Bennet Yee "Using 
Secure Copmcessors" May 1994 CMU-CS-94-149. School 
of Computer Science Carnegie Mellon University Pitts- 
burgh, page 7. ^ 

Der Leiter wird von einer Langlebensdauerbatterie ge- 
speist. Bei Durchtrennung an ii^endeiner Stelle werden der 
Stromkreis unterbrochen und infolgedessen die sicherheits- 
relevanten Daten im Sicherheitsmodul gezielt manipuliert 
bis hin zur volistandigen Loschung derselben. 

Zweck der Erfindung ist eine Verbessenmg der Manipula- 
tionssicherheit. 

Der Erfindung liegt die Aufgabe zugnmde, eine Anord- 
nung zu schaffen die bewirkt, daB Rontgenuntersuchungen 
verhindert werden und separate Versuche mittels Aufbohren 
oder Aufschleifen nicht zum gewunschten Erfolg fiihren. 

ErfindungsgemaB wird diese Aufgabe gemSB dem Haupt- 
anspruch gelost. Weitere vorteilhafte Merkmale der Erfin- 
dung sind den Unteranspruchen zu entnehmen. 

Aufgrund der fakultativen SlafiFelung von SchutzhuUen 
und Detektoren werden je nach Bediirfnis und Aufwandsbe- 
rechtigung ein sicherer Schutz gegen unberechtigte Manipu- 
lationen erreicht. 

Die Erfindung wird nachstehend am Ausfiihrungsbeispiel 
nsLher erlautert. 

In der Figur ist ein LSngsschnitt durch eine erfindungsge- 
maBe Anordnung dai]gestellt. 

Zur Vereinfachung und zum leichteren VerstSndnis ist die 
Darstellung schetnatisiert ausgefiihrt. 

GemaB Fig. 1 besteht die erfindungsgemaBe Anordnung 


aus: 


- einem Sicherheitsmodul 1 nebst Manipulations- 
schaltimg 9 und Batterie 10, die gemeinsam auf eine 
Modulplatine 11 aufgesetzt und elektrisch miteinander 
vericniipft sind, 

- einer die vorgenannten Baugruppen umgebenden 
Rontgenstrahlen absoibierenden Hiille 2 

- einem Rdntgenstrahlen-Detektor 6. einem maander- 
fbrmigen elektrischen Leiter 4 und mindestens einem 
Lichtdetektor 5, der mit einem Lichtleiter 51 gekoppelt 
ist, und die alle elektrisch mit der Modulplatine 11 ver- 


bunden sind, 

- einer weiteren, lichtundurchlassigen Hiille 3 und 

- einem die vorgenannten Bauteile umgebenden, 
Rontgenstrahlen absorbierenden Gehause 7, das auf 

5 eine Platine 8 aufgesetzt ist die wiedcrum elektrisch 
mit der Modulplatine 11 verbunden ist. 

Die Manipulationsschaltung 9 ist so beschaffen bezie- 
hungsweise programmiert, daB im Storungsfall sicherheits- 

10 relevante Daten in vorgegebener Weise so manipuhert wer- 
den, daB der Sicherheitsmodul nicht mehr ordnungsgemaB 
arbeitet. Die bewuBte Manipulation kann auch darin beste- 
hen, das alle sicherheitsrelevanten Daten geloscht werden. 
Die Batterie 10 dient zur Stromversoi^gung des maanderfor- 

15 migen Leiters 4 sowie der Manipulationsschaltung 9 und ist 
als Langlebensdauerbatterie ausgefiihrt. 

Die Hiille 2 besteht aus einem GieBharz, der mit einem 
Rontgenstrahlen absorbierenden Fiillstoff aus Blei- und 
Kupferlegierungen sowie wahlweise weiteren Fiillstoffen 

20 versetzt ist. Der erste Fiillstoff ist vorzugsweise eine Mi- 
schung aus 85% Mennige -Pb304- und 15% Cuprit -CU2O-. 
Als weitere Fiillstoffe sind wahlweise Quarzpulver, Glasku- 
geln Oder Glasfaser eingesetzt. 

Die Hulle 2 kann altemativ auch als Bleimantelgehause 

23 ausgefiihrt sein. 

Der Rontgenstrahlen-Deteklor 6 auBerhalb der Hiille 2 ist 
mit der Modulplatine 11 und iiber dieselbe mit der Manipu- 
lationsschaltung 9 Oder mit dem Sicherheitsmodul 1 direkt 
elektrisch verbunden. 

30 Dasselbe trifft auf den maanderformigen Leiter 4 und den 
Lichtdetektor 5 zu. 

Die Hulle 3 ist lediglich als lichtundurchlassiges Gehause 
ausgefuhn, mit dem zusatzlich zu seiner Hauptfunktion - 
bei dffnung Auslosung des Lichtdetektors 5 - einerseits ein 

35 Augenscheinschutz der Anordnimg und andererseits ein Be- 
riihrungsschutz der eingeschlossenen Detektoren erreicht 
wird. 

Das Gehause 7 ist in diesem Fall vorzugsweise elektro- 
magnetisch abschirmend - Plaste mit Kupfer- und Eisenbe- 

40 schichtung - ausgefiihrt und enthalt innen eine die nachfol- 
genden Baugruppen abschirmende Bleiplatte 71. Es kann 
auch nur vollstandig als Bleigehause ausgefiihrt sein. 
Die Wirkungsweise wird nach folgend beschrieben. 
Wird die gesamte Anordnung mit Rontgenstrahlen be- 

45 strahlt und/oder anderen elektromagnetischen Feldem aus- 
gesetzt, so ist auf Grund der BeschafFenheit des Gehauses 7 
nichts erkennbar imd der Rontgenstrahlen-Detektor 6 bleibt 
inaktiv. Das Gehause 7 dient in erster Linie als Schutz bei 
Routineimtersuchungen durch den ZoW oder andere Kon- 

50 trolldienste. Wenn sichergestellt ist, daB derartige Untersu- 
chungen fiir das Gerat unterbleiben, kann das Gehause 7 
weggelassen werden. Ist das Gehause 7 abgenonmien und 
der Teil mit der Hiille 3 wird mit Rbntgenstrahlen behandelt, 
so werden der Rontgenstrahlen-Detektor 6 aktiviert und 

55 demzufolge die sicherheitsrelevanten Daten verfalscht be- 
ziehungsweise geloscht. 

Bei dem Versuch mittels Aufbohren der Hiille 3 werden 
sowohl der Lichtdetektor 5 als auch der Leiter 4 ausgelost 
und die sicherheitsrelevanten Daten in analoger Weise wie 

60 vorsiehend beschrieben unkenntlich und damit fiir weitere 
Zwecke unmanipulierbar gemacht. Da der Lichtdetektor 5 
mil einem Lichtleiter 51 gekoppelt ist, der die gesamte 
Oberflache abdecken kann, ist jeglicher Lichteinfall wirk- 
sam. 

65 Schliefllich bildet bereits die erste innere Hiille 2 eine si- 
chere Sperre gegen Rontgenuntersuchungen. 


^ DE 198 16 572 A 1 

Bezugszeichenliste 

1 Sicherheitsmodul 
11 Modulplatine 

2 Hulle aus GieBharz mit Rontgenstrahlen absorbierendem 5 
Fullstoff 

3 lichtundurchlassige Hulle 

4 maanderfbrmiger elektrischer Leiter 

5 Lichtdetektor 

51 Lichdeiter lO 

6 Rontgenstrahlen-Detektor 

7 Rontgenstrahlen absoibierendes Gehause 

71 Rontgenstrahlen absorbierende Platte im Gehause 7 

8 Platine 

9 Manipulationsschaltung 15 

10 Batterie 


Patentanspriiche 

1. Anordnung fiir einen Sicherheitsmodul zur Verhin- 20 
derung des Auslesens oder der unberechtigten Manipu- 
lation sicherheitsrelevanter Daten, dadurch gekenn- 
zeichnet, 

daB der Sicherheitsmodul (1) mindestens von einer 
Rontgenstrahlen absorbierenden Hiille (2) umgeben 25 
und 

mit Mitteln (4, 5, 6) zur gezielten Manipulation sicher- 
heitsrelevanter Daten bei mechanischem Eingriff und/ 
oder Rontgenbestrahlung versehen ist, 

2. Anordnung nach Anspruch 1, dadurch gekennzeich- 30 
net, daB die Hiille (2) aus Blei besteht. 

3. Anordnung nach Anspruch 1 , dadurch gekennzeich- 
net, daB die Hiille (2) aus einem GieBharz mit einem 
Rontgenstrahlen absorbierenden Fiillstofif aus Blei- 
und Kupfer-Verbindungen sowie wahlweise weiteren 35 
Fiillsloffen besteht. 

4. Anordnung nach Anspruch 3, dadurch gekennzeich- 
net, daB eine Mischung aus 85% Mennige -Pb304- und 
15% Cuprit -CU2O- und als weitere Fiillstoffe wahl- 
weise Quarzpulver, Glaskugeln oder Glasfaser einge- 40 
setzt sind. 

5. Anordnung nach Anspruch 1 , dadurch gekennzeich- 
nct, 

daB der Sichertieitsmodul (1) von einer weiteren, lich- 
timdurchlassigen Hiille (3) umgeben ist und 45 
daB im Ubergangbereich zwischen dieser Hiille (3) und 
der Rontgenstrahlen absorbierenden Hiille (2) wahl- 
weise ein maanderformiger elektrischer Leiter (4) oder 
ein Lichtdetektor (5) nebst Lichtleiter (51) oder ein 
Rontgenstrahlen-Detektor (6) oder Kombinationen 50 
derselben angeordnet sind, die mit dem Sicherheitsmo- 
dul (1) direkt oder iiber eine Manipulationsschaltung 
(9) elektrisch verbunden sind. 

6. Anordnung nach Anspnich 1 und 5, dadurch ge- 
kennzeichnet, daB die Hiille (3) von einem Rontgen- 55 
strahlen absorbierenden Gehause (7) umgebeben ist, 
das auf eine Platine (8) anfgesetzt ist, die mit dem Si- 
cherheitsmodul (1) elektrisch verbunden ist. 

7. Anordnung nach Anspruch 5, dadurch gekennzeich- 
net, daB die Manipulationsschaltung (9) nur bei span- 60 
nungslosem Zustand des Sicherheitsmoduls (1) mit 
demselben elektrisch verbunden ist. 
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